Заиста ми се свидјела нова функција за рад са евиденцијама догађаја у систему Виндовс 2008/7 / Виста, која се зове Просљеђивање догађаја (претплата - или претплата) која је заснована на ВинРМ технологији. Ова функција омогућава вам да примите све догађаје из свих евиденција са више сервера без употребе производа других произвођача и може да се конфигурише за само неколико минута. Можда ће вам ова технологија омогућити да напустите Киви Сислог Виевер и Сплунк, које су многи системски администратори толико волели..
Дакле, шема је следећа, имамо Виндовс 2008 сервер који ради сакупљач трупце из једне или више извори. Као припремни рад, треба да извршите следећа 3 корака:
На сакупљачу дневника у наредбеном ретку са администраторским правима покрените следећу наредбу, којом ћете покренути Виндовс Евент Цоллецтор Сервице, променити тип покретања у аутоматски (Аутоматски - одложен старт) и омогућити канал ФорвардедЕвентс ако је онемогућен.
вецутил кц
За сваки од извора који морате активирати ВинРМ:
винрм куицкцонфиг
Подразумевано, сервер сакупљача дневника не може једноставно прикупити податке из записника догађаја извора; мораћете да додате рачун рачунара колекционара локалним администраторима на свим серверима извора дневника (у случају да изворни сервер покреће 2008 Р2, тада је довољно додајте колекционарски рачун у групу Евент Пријавите се Читаоци)
Сада морамо креирати претплате на колекционару сервера. Зашто ићи на то, отворите ММЦ конзолу Евент Виевер, кликните десним тастером миша на претплате и одаберите Цреате Субсцриптион:
Овде можете изабрати неколико различитих подешавања..
Сваки пут када додате колектор, било би лепо проверити везу:
Затим морате конфигурирати филтар тако да назначите које врсте догађаја желите да примите (на пример, Грешке и упозорења), а догађаје можете да прикупљате и по одређеним бројевима ИД-а догађаја или речима у опису догађаја. Постоји једно упозорење: не бирајте превише врста догађаја у једној претплати, можете да анализирате овај дневник у недоглед :).
Напредна подешавања могу вам бити потребна ако желите да користите нестандардни порт за ВинРМ или желите да радите преко ХТТПС протокола или оптимизирате записе на спорим ВАН каналима.
Након што кликнете на У реду, претплата ће бити креирана. Овде можете десним тастером миша кликнути на претплату и добити статус (Рунтиме Статус), или га поново покренути (Покушај) ако је претходно покретање било неуспешно. Имајте на уму да чак и ако ваша претплата има зелену икону, може доћи до грешака у процесу прикупљања записа. Зато увек проверите статус извршавања.
Након што претплата започне, можете погледати преусмерене догађаје. Имајте на уму да ако су трупци врло велики, почетно прикупљање им може потрајати неко време..
Конфигурација се може видети на картици Својства -> Претплате.
Ако збирка записа не ради, прво се на изворном серверу дневника провјерите је ли локални фиревалл исправно конфигуриран и омогућава ВинРМ промет.
Једном, када сам додао групу сервера колекционара групи читача дневника догађаја, али нисам додао њене локалне администраторе, дошло је до такве грешке;
[ВДС1.ад.лоцал] - Грешка - Последње време покушаја: 2010-09-28 16:46:22. Код (0 × 5): Додатак за пренос догађаја Виндовс није успео да прочита догађаје. Следеће време покушаја: 2010-09-28 16:51:22.
Покушао сам да додам налог сервера групи локалних администратора, као резултат ове грешке:
[ВДС1.ад.лоцал] - Грешка - Последње време покушаја: 2010-09-28 16:43:18. Код (0 × 7А): Податковна област која је прослеђена системском позиву је премала. Следеће време покушаја: 2010-09-28 16:48:18.
Испада да сам у филтеру одабрао превише трупаца. Прилагођавањем филтера тако да прикупљају нешто мање информација, преварио сам ову грешку.
Савет. Да бисте аутоматски обавестили администратора о појави одређеног догађаја у Виндовс дневнику, можете да конфигуришете окидач планера задатака. Детаљи у чланку: Надгледање и обавештавање о догађајима у Виндовс записима
